2段階認証を突破する方法が明らかに! ボイスメールを利用したその手口とは

更新日:

by ハンサムクロジ

どうもハンサムクロジです。

不正アクセスを防ぐために各ウェブサービスが提供しているログイン時の2段階認証。これを突破する方法が見つかったと話題になっていたのでご紹介します。

今回の場合は2段階認証自体に穴があるわけではなく、携帯電話キャリア側の問題が重要なポイントになっているようです。

一体どんな方法で2段階認証を突破したのでしょうか?

ボイスメールから認証コードを盗む

GIGAZINEの記事によると、2段階認証突破にはログイン用アカウント名とパスワード、2段階認証に登録された携帯電話番号、発信者番号偽装サービス、キャリアのボイスメール用の電話番号が必要になるとのこと。

まずアカウントとパスワードでログインし、登録された携帯電話へ発信。ログインページで2段階認証用コードを電話で送信するよう選択すると、コードはボイスメールで送信されます。

あとは発信者番号偽装サービスを利用してボイスメールにアクセスし、送信された番号を聞き出してログイン完了となります!

この方法は、ボイスメールを聞くときに暗証番号などの上記以外のセキュリティ情報を求めない携帯電話キャリアであれば可能だそうで、GoogleやFacebookといった有名サービスでも成功したと伝えられています。

電話番号を偽装できてしまうことももちろん問題ですが、この方法を発見したShubham Shahさんは、送られてきたメールの内容に簡単にアクセスできる状態にしているキャリア側にも問題があるのではと指摘しているそうです。

ウェブサービス側も2段階認証時に電話番号を使ったコード送信方法を選択できなくするなどの対応が必要になってきそうですね……。

iPhone,iPadをチェックする

 ソフトバンク民は見ない方がいいかも。最終的に全然違うよ。

iPhone,iPadをチェックする

 ソフトバンク民は見ない方がいいかも。最終的に全然違うよ。

参考:GIGAZINE

人気記事

ランキングの続きを見る


関連記事